审计作为企业实施控制与改进管理的有效工具,也是企业检验和改进内部控制的重要手段。以风险为导向的内部控制审计理念引入企业领域,诸多企业正不同程度地开展内部控制审计。本文从企业内部控制审计目标定位、审计重点、审计方法、风险防范等方面进行思考。
一、准确定位内部控制审计目标
企业内部控制审计的目标,是指在特定的历史条件下,通过实施企业内部控制审计所要达到的预期效果,它通常包括总体目标和具体目标。
(一)企业内部控制审计总体目标企业通过实施企业内部控制审汁.合理有效地促进企业建立健全内部管理制度,改进企业内部管理水平,维护企业资产安全完整,提高企业运营效率和经营效果.以实现企业整体经营目标。
(二)企业内部控制审计具体目标内部控制审计总体目标的进一步具体化,是企业内部控制审计目标的具体表现。通常。企业内部控制审计具体目标概括起来,主要包括以下几个方面:一是健全性。健全性也称完整性,它包含两层涵义:一方面是指企业根据生产经营需要,应该设置的内部控制都已设置;另一方面是指对生产经营活动全过程进行自始自终的控制。二是合规性。是指企业已建立的内控制度是否合法合规。审计企业内控制度的合规性,主要审查两方面:审查企业内控制度是否符合法律、法规以及行业制度体系的规定和审查企业内控制度是否符合上级组织或主管机构制定的内部控制制度有关规定。三是合理性。审计企业内部控制的合理性,同样也包含两层涵义:审计企业内部控制设计和执行时的适用性和审计企业内部控制设计和执行时的经济性。四是遵循性。审计企业内部控制的遵循性,是在审计企业内控制度健全性和合理性的基础上,主要对企业内控制度的实际执行情况进行符合性测试和实质性测试,即审计企业内控制度在生产经营过程中是否遵照执行。五是有效性。审计企业内部控制的效果性,主要是审查企业内部控制政策和措施是否有与国家法律法规相抵触的地方,以及企业内部控制是否具有可操作性,在企业生产经营过程中能否得到贯彻执行并发挥应有作用,以实现其为提高经营效率效果、提供可靠财务报告和遵循法律法规提供合理保证的目标。
二、把握内部控制审计重点
根据COSO提出的《内部控制——整体框架》理论和《内部审计其体准则第5号——内部控制审计》等有关规定,企业内部控制审计内容主要包括控制环境、风险管理、控制活动、信息与沟通、内部监督等方面,简称COSO五大要素。因此,要全面把握企业内部控制审计的重点内容,可以分别从以下几方面人手。
(一)控制环境审计是指对企业控制环境总体情况进行审查和评价。其审查重点主要包括:企业生产经营活动的复杂程度;企业内部管理权限的集中程度;企业管理层行为守则或类似规范;企业管理哲学及管理风格;企业文化及员工对企业文化的理解和认同;法人治理结构状况;企业各阶层人员的知识与技能;企业组织结构和职责划分隋况;重要(或关键)岗位人员的权责相称程度及其胜任能力;员工聘用程序及培训;员工业绩考核与激励机制。
(二)风险管理审计是指对企业风险管理机制及其运行情况进行审查和评价。其审查重点主要包括:可能引发风险的内外因素;风险发生的可能性和预计带来的后果;辨识与分析风险能力;防范和降低风险的能力;风险管理的具体方法及效果。
(三)控制活动审计是指对企业各生产经营业务实施控制活动情况进行审查和评价。其审查重点主要是:控制活动业绩评估系统建立及其运行状况;控制活动对风险的识别和规避情况;控制活动对实现企业经营目标的贡献;控制活动执行的有效性。
(四)信息与沟通审计是指对企业建立信息系统、获取及传递信息等信息处理情况进行审查和评价。其审查重点主要是:获取财务信息、非财务信息的能力;信息处理的及时性和适当性;信息传递渠道的便捷与畅通;管理信息系统的安全可靠性。
(五)内部监督方面对内部监督方面进行审计,应当重点审查:内部监督主体状况;内部监督机制设置情况、内部监督活动实施情况、内部监督组织安排情况等。
三、创新内部控制审计方法
作为一种新的审计类型,企业内部控制审计在运用审计方法上,有别于常规审计。具体来说,企业内部控制审计在实施方法、技术方法和评价方法上,要不断进行改进和创新。
